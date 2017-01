Robert O’Callahan ist ehemaliger Entwickler bei Mozilla und hat sich als solcher offenbar über Jahre auf die Zunge gebissen, aber nachdem er letztes Jahr bei Mozilla aufgehört hat, sah er sich letzte Woche genötigt einen Blogbeitrag zu verfassen, der ihm wohl lange auf der Seele gebrannt hat:

Robert O’Callahan: Disable Your Antivirus Software (Except Microsoft’s)

Natürlich gehören zu der Überschrift ein paar Einschränkungen, so kann man Antiviren-Software (womit hier grundsätzlich jede Software gemeint ist, die das Eindringen von Schadsoftware in das eigene System verhindert oder verspricht dies zu tun und über ein reines Scannen des Dateisystems hinaus geht) von Microsoft nur nutzen, wenn man eben auch Windows nutzt. Er hat dann auch in einem Update noch einmal deutlich gemacht, dass diese Aufforderung nur für aktuelle Systeme gilt, die auch auf dem aktuellen Stand gehalten werden. Explizit erwähnt er hier Windows 7 oder („was Gott verhüten möge“) Windows XP, bei denen AV-Software von Drittanbietern das System „ein bisschen weniger verloren“ machen könnte.

Schlangenöl?

Mit dieser eher schlechten Meinung zu solchen Produkten ist er natürlich nicht alleine, oft genug hört man im Zusammenhang mit solcher Software den Begriff „Schlangenöl“. Für die wenigen, die mit dem Bergriff nichts anfangen können: Die Bezeichnung „snake oil“ für Produkte, die wenig oder gar keine Funktion haben, entstammt der Zeit, die man heute gerne den „Wilden Westen“ nennt und zu der diverse Wunderheiler eben „Schlangenöl“ als Wundermittel gegen so ziemlich jedes Gebrechen und im Zweifel auch zum Putzen verkauft haben. Natürlich gegen eine stattliche Bezahlung.

Wobei es ja schon ein Fortschritt wäre, wenn diese Produkte nur wirkungslos wären. In schöner Regelmäßigkeit tauchen kritische Fehler auch in dieser Art Software auf, die damit ihre Nutzer einem zusätzlichen Risiko aussetzt, statt sie vor Risiken zu schützen. Robert O’Callahan geht sogar noch weiter und wirft den Entwicklern solcher Software nicht nur vor, dass sie Fehler machen – Fehler passieren den besten Entwicklern – sondern sogar, dass sie bestehende Sicherheitsstandards in der Softwareentwicklung einfach nicht anwenden würden. Mit Ausnahme von Microsoft, diesen bescheinigt er, recht kompetent zu sein. Das und die sinnvolle Integration von Microsofts Lösung führt zu seiner Empfehlung diese aktiv zu lassen.

AV-Software als Sicherheitshindernis

AV-Software würde aber im Allgemeinen das Software-Ökosystem vergiften, mit ihrem invasiven und schlecht implementierten Code würden sie es anderen Entwicklern – hier vor allem den Entwicklern von Browsern – schwer machen, ihre Produkte selbst abzusichern. Er hat hier auch direkt ein Beispiel aus der Firefox-Entwicklung parat. So hatte man in Firefox recht schnell die Address Space Layout Randomization (ASLR) implementiert, ein Sicherheitsfeature um eben Schadsoftware die Arbeit zu erschweren.

Die schnelle Implementierung führte am Ende dazu, dass verschiedene AV-Produkte den Einsatz von ASLR durch eigene DLL einfach unterbunden haben. Schließlich verhalten sich manche dieser Produkte durchaus ähnlich zu Schadsoftware, sie versuchen sich an alle möglichen Prozesse zu hängen, wollen alles mitbekommen, was das System oder ein Programm macht, um das zu erreichen war es anscheinend eben einfacher ASLR zu unterdrücken, statt sich daran anzupassen.

Mehrere Male sei es auch vorgekommen, dass AV-Software das Einspielen von wichtigen Updates für Firefox verhinderte – was gerade bei wichtigen Security-Updates enorm schlecht ist. Jeder kennt die Aufforderungen zu Beginn vieler Software-Installationen, man möge doch bitte für die Installation jede Antiviren-Software deaktivieren. Da hatten wohl nicht nur die Firefox-Entwickler solche Probleme.

Aber wirklich verzichten?

Soll man deswegen nun wirklich auf diese Art der Software komplett verzichten? Immerhin werden es ja jeden Tag mehr Schädlinge, die ihr Unwesen treiben und zwar für alle Systeme. Auch wenn Windows hier immer noch „führend“ ist, kann man sich ohne weiteres auch unter Linux, macOS oder Android Schadsoftware einfangen und selbst das weitgehend abgeschottete iOS ist nicht 100%ig sicher. Trotz aller Bemühungen der Systementwickler über verschiedene Mechanismen derlei Software keine Angriffspunkte mehr zu bieten. Und man kann kaum der Auffassung widersprechen, dass ein sauber im System verankerter Schutz gegen Malware einige Vorteile gegenüber Produkten von Drittherstellern haben. Und dann gibt es noch Serversysteme, durch die viele Daten geschleust werden – hier wird niemand abstreiten, dass ein sauber ins Mailsystem integrierter Filter, der alle Mails auf bekannte Malware scannt, zumindest einen großen Teil dieser Schädlinge ausfiltern kann und so verhindert, dass ein User diese aus Versehen öffnet – selbst wenn auf dem Desktop nicht (mehr) gescannt würde.

Werbung wirkt

Zumindest kann man eines mit Sicherheit sagen. Selbst wenn die Produkte der AV-Hersteller allesamt in die Kategorie „Schlangenöl“ gehören würden – ihre Werbung wirkt. Die erste Frage vieler Nutzer, wenn sie ein neues Gerät bekommen, lautet: „Und welche Antiviren-Software muss ich installieren?“. Und dabei spielt es keine Rolle, ob es sich um einen Rechner mit Windows oder macOS, ein Smartphone oder Tablet, mit Android oder iOS handelt. Ich wurde sogar schon gefragt, ob es irgendwelche „Schutzsoftware“ für eine Apple Watch gäbe. Bei vielen Nutzern hat sich über die Jahre aber im Hirn festgesetzt, dass man keinen Computer ohne Antiviren-Software betreiben dürfe.

Brain.exe immer aktivieren!

Statt Antiviren-Produkten, die das System verlangsamen, für Inkompatibilitäten und neue Sicherheitsprobleme sorgen, wird regelmäßig der Einsatz des eigenen Hirns, des viel gepriesenen „gesunden Menschenverstands“ empfohlen. Und ja, wenn man den entsprechen einsetzt, dann kann man wohl Schadsoftware vermeiden. Außer zu Testzwecken oder zum manuellen Scan von Dateien läuft seit vielen Jahren auf meinen Macs keine Antiviren-Software. Einzig meine Windows-Rechner (auch die virtuellen) hatten vor Windows 10 immer auch Antiviren-Software installiert.

Mein Mailserver scannt die Mails auf Anhänge mit Schadsoftware, ansonsten öffne ich eben keine Software oder Office-Anhänge aus dubiosen Quellen, mache meine Updates regelmäßig und versuche vorsichtig zu sein. Das ist natürlich keine Garantie, schließlich tauchen auch immer wieder Lücken auf, bei denen es schon ausreicht, wenn man die falsche Website besucht, aber ich hatte schon seit sehr langer Zeit keine unbeabsichtigte Infektion mit Schadsoftware (die eine oder andere beabsichtigte Infektion innerhalb einer isolierten virtuellen Maschine hatte ich durchaus). Mein letzter Virus, den ich mir unbeabsichtigt eingefangen hatte, war ein Bootsektor-Virus auf meinem Atari MegaSTE 2, ist also ein paar Tage her.

Andererseits bekomme ich aber regelmäßig Hilferufe von Bekannten und Kunden, bei denen irgendjemand™ aus Versehen irgendeinen dubiosen Anhang geöffnet hatte. Und verdammt, die Mails, mit denen so Zeug verschickt wird, sind teilweise wirklich täuschend echt gemacht. Wer nicht weiß, dass Paypal keine Transaktionsbestätigungen als Word-Dokument oder die Bank keine Kontoauszüge als Excel-Tabelle verschickt, der könnte da schon mal drauf reinfallen. Wenn dann die systemeigenen Schutzmechanismen versagen…

Aber ob man nun Antiviren-Software auf dem eigenen System laufen lässt oder nicht, das Hirn muss man immer benutzen und so wiederhole ich hier gerne unsere drei unserer vier grundlegenden Tipps, die wir im Zusammenhang mit Ransomware immer wieder bringen, denn die helfen nicht nur bei dieser speziellen Sorte Schadsoftware.

Öffnet keine Datei-Anhänge von unbekannten Absendern. Öffnet keine Dateianhänge von bekannten Absendern, wenn die Mail selbst gar keinen Sinn ergibt – warum sollte euch eure Mutter eine Rechnung schicken?

Verhindert die automatische Ausführung von Makros in Microsoft Word. (Datei -> Optionen -> Trust Center -> Einstellungen -> Makroeinstellungen)

Macht regelmäßig Backups eurer wichtigen Daten. Benutzt dazu externe Medien wie z.B. einen USB-Stick. Trennt das Medium danach vom System. Verschlüsselt eure eigenen Daten und bewahrt sie an einem sicheren Ort auf. Nutzt im besten Fall zwei separate Backup-Medien, die ihr im Wechsel überschreibt.

Und der vierte Tipp, nun, das ist wohl auch eine Glaubensfrage:

Macht regelmäßig ein manuelles Update eurer (hoffentlich installierten) Anti-Viren Software. Eventuell hat euer Hersteller bereits eine Erkennungsroutine gefunden. Macht – wie von de meisten Antivirenprogrammen vorgeschlagen – auch mal eine dieser lästigen vollständigen Systemüberprüfungen.

Sehen wir diesen Tipp eingeschränkt auf die Aufforderung reine Dateiscanner zu nutzen, die regelmäßig die Festplatte(n) checken, ohne irgendwelche Extra-Tools im System zu installieren. Alles darüber hinaus könnte auch kontraproduktiv sein.

Und ihr so?

Wie handhabt ihr das mit Antiviren-Software (die über reine Dateiscanner hinausgehen)? Für euch unverzichtbar oder überflüssiger Schnickschnack ohne Zusatznutzen?

via WinFuture